Home » Spyware & Browser Hijacker Support Forum » Antivirus Gold + wininet.dll (Virus.Win32.Nsag.a) » Themenansicht

Antivirus Gold + wininet.dll (Virus.Win32.Nsag.a)
#0
08.08.2005, 23:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 gimjen

dann hast du einen Fehler gemacht

du must auch die REGEDIT4 mit abkopieren...hast du das gemacht und auch alles korrekt als reg-Datei abgespeichert?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2005, 22:47
gimjen
Member

Beiträge: 12
#47 HI!
Habs doch noch geschafft, hier das smitfile.txt:

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! ;)


Pre-run Files Present


~~~ Program Files ~~~

PSGuard


~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

oleext.dll
wppp.html
logfiles


~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Post-run Files Present

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Wininet.dll ~~~

CLEAN! ;)
Seitenanfang Seitenende
09.08.2005, 22:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 Hallo@gimjen

Gut gemacht ;)


(ueberpruefe, ob das geloescht ist:
-C:\Programme\PSGuard\
-C:\Windows\System32\oleext.dll
-C:\Windows\System32\wppp.html
-C:\Windows\System32\logfiles

um die registry zu reinigen:
#TuneUp2004 (30 Tage free)
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2005, 23:47
gimjen
Member

Beiträge: 12
#49 AboutBuster 5.0 reference file 28
Scan started on [09.08.2005] at [22:59:22]
------------------------------------------------
Removed Stream! C:\WINDOWS\Angler.bmp:bumtzu
Removed Stream! C:\WINDOWS\ctpu.exe:fxirxr
Removed Stream! C:\WINDOWS\system.ini:xrhlyp
Removed Stream! C:\WINDOWS\twunk_32.exe:znnbza
Removed Stream! C:\WINDOWS\unvise32qt.exe:cpqmwn
Removed Stream! C:\WINDOWS\vgplayer.ini:oewyk
------------------------------------------------
Removed File! : C:\Windows\wgrhv.dat
Removed File! : C:\Windows\System32\anoke.dat
Removed File! : C:\Windows\System32\fjghg.dat
Removed File! : C:\Windows\System32\odvir.dat
Removed File! : C:\Windows\System32\ueqye.dat
Removed File! : C:\Windows\System32\zydwt.dat
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 23:00:15

Ewido: 24! alerts:

+ Erstellt am: 00:17:03, 10.08.2005
+ Report-Checksumme: 18F64B9B

+ Scanergebnis:

HKLM\SOFTWARE\Avenue Media -> Spyware.InternetOptimizer : Gesäubert ohne Backup
HKLM\SOFTWARE\Avenue Media\Internet Optimizer -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKLM\SOFTWARE\Avenue Media\Internet Optimizer\Browser Helper\cf1 -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{62B52B4D-547B-BFC7-9850-79709FDECF27} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{0B6EF17E-18E5-4449-86EA-64C82D596EAE} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{BD0022A3-A43F-4F44-B64F-53EA7575F097} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\GMSoft -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\GMSoft\Dialers -> Dialer.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\AMeOpt -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Policies\Avenue Media -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKU\S-1-5-21-515967899-839522115-1343024091-1003\Software\GMSoft -> Dialer.Generic : Gesäubert mit Backup
HKU\S-1-5-21-515967899-839522115-1343024091-1003\Software\GMSoft\Dialers -> Dialer.Generic : Gesäubert mit Backup
HKU\S-1-5-21-515967899-839522115-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKU\S-1-5-21-515967899-839522115-1343024091-1003\Software\Policies\Avenue Media -> Spyware.InternetOptimizer : Gesäubert mit Backup
HKU\S-1-5-21-515967899-839522115-1343024091-1003\Software\WebSiteViewer -> Dialer.Generic : Gesäubert mit Backup
HKU\S-1-5-21-515967899-839522115-1343024091-1003\Software\WebSiteViewer\Settings -> Dialer.Generic : Gesäubert mit Backup
C:\WINDOWS\system32\t239478.exe -> TrojanDownloader.Esepor.i : Gesäubert mit Backup
C:\WINDOWS\vgplayer.ini:upjzqx -> Spyware.OneMoreSearch : Gesäubert mit Backup
C:\Dokumente und Einstellungen\markus\Cookies\markus@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\markus\Cookies\markus@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\markus\Cookies\markus@oewabox[1].txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup


::Report Ende


VIELEN, VIELEN DANK für die aufwendige und geduldige Hilfe, aber der PC ist noch immer soooo langsam, daß da noch irgendwas nicht paßt :-(
Dieser Beitrag wurde am 10.08.2005 um 00:19 Uhr von gimjen editiert.
Seitenanfang Seitenende
10.08.2005, 00:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 Hallo@gimjen

ueberpruefe, ob das geloescht ist:
C:\WINDOWS\system32\t239478.exe

um die registry zu reinigen:
#TuneUp2004 (30 Tage free)
http://virus-protect.org/reinigungstoolsregistry.html
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

mache einen Onlinescan mit panda:+ berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2005, 15:09
gimjen
Member

Beiträge: 12
#51 Hi!
Ich war leider länger weg, hab aber jetzt nochmal versucht meinen PC hinzubekommen.
Das von dir genannte file ist nicht am PC, aber ich kann weder RegScan noch TuneUp ausführen, anscheinend weil es .exe files sind?!
Keine Ahnung, er lädt die files herunter, ich kann sie aber nicht öffnen.
Auch der online scan mit Panda funktioniert nicht - bei scan PC passiert einfach nix!
Gibts da Hilfe? DANKE!
Seitenanfang Seitenende
01.09.2005, 15:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 gimjen

Start-->Ausfuehren--> regedit

alles auf 0 setzen

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 setzen
DisableRegistryTools = "dword:00000001" --> auf 0 setzen

HKEY_CURRENT_USER\Software\Microsoft\security center
"AntiVirusDisableNotify"=dword:00000001 --> 0
"FirewallDisableNotify"=dword:00000001--> 0
"FirewallOverride"=dword:00000001--> 0
"FirstRunDisabled"=dword:00000001--> 0
"UpdatesDisableNotify"=dword:00000001 --> 0

PC neustarten

arbeite das bitte ab--> mit Pfadangabe posten
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2005, 15:30
gimjen
Member

Beiträge: 12
#53 regedit.exe kann nicht geöffnet werden.....
Seitenanfang Seitenende
01.09.2005, 15:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 Um den Registry-Editor wieder starten zu können kopiere bitte folgende Zeilen in eine TXT-Datei (das Notepad/den Editor verwenden) und ändere die Dateiendung auf .INF um:

Zitat

[Version]
Signature="$CHICAGO$"

[DefaultInstall]
AddReg=FixSwen

[FixSwen]
HKCR, "batfile\shell\open\command",,0,"""%1"" %*"
HKCR, "comfile\shell\open\command",,0,"""%1"" %*"
HKCR, "exefile\shell\open\command",,0,"""%1"" %*"
HKCR, "piffile\shell\open\command",,0,"""%1"" %*"
HKCR, "regfile\shell\open\command",,0,"regedit.exe "%1""
HKCR, "scrfile\shell\open\command",,0,"""%1"" %*"
HKCR, "scrfile\shell\config\command",,0,"""%1"" %*"
HKCU, "software\microsoft\windows\currentversion\policies\system","DisableRegistryTools",0,0
Klicke danach mit der RECHTEN MAUSTASTE auf diese Datei und wähle INSTALLIEREN. Diese Datei ändert alle durch durch den Wurm geänderten Einträge wieder auf den normal Zustand und danach sollten Sie wieder alle Programme starten und mit der manuellen Entfernung beginnen können.

scanne mal mit diesem Tool (ich weiss nicht, ob es der swen-Wurm ist...aber scannen kann ja nicht schaden)
http://securityresponse.symantec.com/avcenter/venc/data/w32.swen.a@mm.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2005, 15:45
gimjen
Member

Beiträge: 12
#55 Auch das kann ich nicht machen, weil kein Text-editor mehr funktioniert...
Ich kann keine Programme öffnen, wie kann ich das file dann anlegen?
Seitenanfang Seitenende
01.09.2005, 15:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 ja, dann suche die XP-CD und formatiere
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2005, 15:58
gimjen
Member

Beiträge: 12
#57 Jetzt hats doch noch geklappt, ich laß jetzt mal die Programme von deinem vorherigen Tipp laufen und poste dann die Ergebnise ;-)

1 Virus gefunden:

C:\install.htm HTML/ObjCode@expl


Und hier das Ergebnis von datfind.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\WINDOWS\system32

01.09.2005 16:15 5 SndDrv32ds_g.ods
01.09.2005 16:15 5 AuxDrv32ds_g.ods
01.09.2005 14:07 2.184 wpa.dbl
29.07.2005 15:09 75 LuResult.txt
29.07.2005 09:56 766 spyware.ico
29.07.2005 09:56 4.286 spam.ico
29.07.2005 09:56 2.238 pharm.ico
29.07.2005 09:56 2.238 network.ico
29.07.2005 09:56 2.238 Date.ico
27.07.2005 09:41 1.632 d3d8caps.dat
11.05.2005 16:05 3.621 jupdate-1.5.0_03-b07.log

2.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\WINDOWS

01.09.2005 15:15 596 setupapi.log
01.09.2005 14:15 7.295 WindowsUpdate.log
01.09.2005 14:08 0 0.log
10.08.2005 13:27 884 SchedLgU.Txt
09.08.2005 23:39 180.708 ntbtlog.txt
09.08.2005 22:32 120 setupact.log
09.08.2005 22:32 0 setuperr.log
27.07.2005 15:18 54.156 QTFont.qfn
27.07.2005 11:26 551 vp.ini

3
Volumeseriennummer: A830-3AC5

Verzeichnis von C:\

01.09.2005 16:34 0 sys.txt
01.09.2005 16:33 4.240 system.txt
01.09.2005 16:33 134 systemtemp.txt
01.09.2005 16:30 108.316 system32.txt
01.09.2005 14:07 591.396.864 pagefile.sys
09.08.2005 22:31 809 smitfiles.txt
07.08.2005 18:54 1.742 log.txt
02.08.2005 22:00 5.479 TaskLog.html
30.01.2005 11:36 3 TCPCheckResult.txt
Dieser Beitrag wurde am 01.09.2005 um 16:35 Uhr von gimjen editiert.
Seitenanfang Seitenende
01.09.2005, 17:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58 KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip

Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot (anhaken)

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? " ---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\SndDrv32ds_g.ods
C:\WINDOWS\system32\AuxDrv32ds_g.ods
C:\WINDOWS\system32\t239478.exe
C:\install.htm
C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\pharm.ico
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\Date.ico
C:\WINDOWS\system32\d3d8caps.dat

PC neustarten

Alle Dateien in einen Ordner entpacken
die Readme Datei lesen
starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)

Onlinescan (Kaspersky + Panda)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2005, 18:44
gimjen
Member

Beiträge: 12
#59 1. Virus:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{7464978C-C43F-4BD1-801F-9D017F29E4A3}\RP486\A0099681.DLL
Seitenanfang Seitenende
01.09.2005, 19:25
MerlinX
zu Gast
#60 Ne neue wininet.dll kann man hier herunterladen.>
http://www.dll-files.com/dllindex/dll-files.shtml?wininet
MfG Merlinx ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12345